Recentemente meu apache recebeu um ataque DoS, aconteceu uma requisição do SYN do atacante para o nosso apache, eu sei porque naquela época eu tinha o wireshark ativado.
Depois que o ataque terminar, eu reinicio meu apache e tudo volta para funcionar normal. Mas o problema quando eu verificar meu serverstatus de mod-status, existem alguns segmentos estão mostrando
> 0-92 61968 0/0/674 R 1125 0 0.0 0.00 22.93 ? ? ..reading..
> 0-92 61968 0/0/29 R 537889 0 0.0 0.00 0.01 ? ? ..reading..
> 0-92 61968 0/0/852 R 1158 15 0.0 0.00 15.05 ? ? ..reading..
> 0-92 61968 0/0/2 R 537933 578 0.0 0.00 0.02 ? ? ..reading..
> 0-92 61968 0/0/3 R 537933 0 0.0 0.00 0.02 ? ? ..reading..
> 0-92 61968 0/0/1 R 538060 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/2 R 538060 0 0.0 0.00 0.01 ? ? ..reading..
> 0-92 61968 0/0/71 R 538146 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/31 R 538146 0 0.0 0.00 0.01 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 K 1287665833 0 0.0 0.00 0.00
estas .. leitura .. estão sempre mostrando mesmo depois de reiniciar. Você tem alguma idéia de como remover isso? e de onde vem?
Para verificar se você ainda está sendo atacado:
Digite o seguinte comando
netstat -plan | grep :80 | awk {'print $5′} | cut -d: -f 1 | sort | uniq -c | sort -n
Você verá uma lista de IPs com o número de conexões que cada um deles possui em seu servidor.
Se algum IP tiver mais de 100 conexões, há uma chance de que esse seja seu invasor. Vá em frente e bloqueie este IP usando APF se você tiver instalado ou CSF.
apf -d IP
ou
csf -d IP
Eu também vi recentemente alguns deles em meu status de apache também. Parece que eles vão embora automaticamente para mim. Estou procurando uma explicação também.
Sobre esses processos não desaparecerem após o reinício, você pode tentar parar o apache:
killall -KILL httpd
Em seguida, reinicie-o. Eles são provavelmente processos zumbis que o apache não pode matar por si só quando reiniciar.
Eu sei que esse tipo de ataque é quase impossível de impedir, mas apenas certificando-se: você já ajustou o valor do Apache TimeOut , ou ele está configurado para o valor padrão (300 segundos, eu acho)? Se for o padrão de 300 segundos, você pode alterá-lo com segurança para um valor significativamente menor, por exemplo, 15 ou 30 segundos.